«Гостех» не смог обновить иностранное ПО

Разработчикам госплатформы пришлось искать пути обхода ограничений
Уязвимость платформы создает тот факт, что «Гостех» не владеет платформой и не имеет инструментов влияния на нее / Евгений Разумный / Ведомости

Разработчики платформы «Гостех», которую создает «Сбер» по заказу правительства, столкнулись с ограничениями при попытке получить доступ к официальным обновлениям программного обеспечения Terraform. Об этом «Ведомостям» рассказали топ-менеджер и сотрудник двух крупных российских разработчиков ПО. Теперь, утверждают они, разработчики «Гостеха» вынуждены клонировать программный код и поддерживать его собственными силами, что создает риски для всей системы.

Terraform используется для работы с облачной инфраструктурой. Это ПО, созданное американской компанией HashiCorp и распространяемое по открытой лицензии вида Mozilla Public License ver. 2.0, которая дает право его свободного использования. Однако по факту часть функционала закрыта для России и скачивать обновления и пакеты не дает, указывает топ-менеджер одного из российских разработчиков. 

Создание платформы «Гостех» было анонсировано еще в 2020 г. Она должна была объединить в себе разрозненные государственные информационные системы, которыми пользуются ведомства. Сейчас в России действует 826 федеральных и 3303 региональные информационные системы, которые обходятся государству в 460 млрд руб. в год, заявлял в интервью изданию CNews вице-премьер России Дмитрий Чернышенко. Платформа «Гостех» предполагает создание прикладных сервисов общего назначения, используемых сразу несколькими ведомствами, например единый профиль клиента.

В марте 2022 г. премьер Михаил Мишустин подписал постановление, по которому срок проведения эксперимента по созданию «Гостеха» был продлен с 31 мая до 31 декабря 2022 г. В эксперименте участвуют Минцифры, Минспорта, Росреестр, Росимущество и другие ведомства. С 2024 г. все региональные и федеральные власти будут обязаны подключиться к платформе.

«Риск установки технических ограничений на доступ к репозиторию GitHub уже частично реализовался», – подтвердил гендиректор «Гостеха» Василий Слышкин. Эта ситуация решается при помощи клонирования и регулярной синхронизации репозитория GitHub с ядром Terraform, заверил он, добавив, что в текущий момент провайдеры облачных услуг самостоятельно реализуют меры по поддержке и обновлению Terraform.

Сейчас российские разработчики обходят установленные ограничения путем создания «зеркал». Так, например, сделал «Яндекс», знает один из собеседников «Ведомостей». Однако «слепое» клонирование создает риски отсутствия контроля за кодом, отмечают опрошенные участники рынка. Надо отдавать себе отчет в том, что если вы скачали и установили ПО или обновления к нему, то никто не отвечает ни за его работоспособность, ни за его безопасность, объясняет член правления АРПП «Отечественный софт», председатель совета директоров «Базальт СПО» Алексей Смирнов. «В серьезных государственных проектах можно использовать только то СПО, за которым стоит участник разработки, хорошо в нем разбирающийся, или наращивать собственную компетенцию и самому отвечать за результат. Причем такое ПО надо не «скачивать как есть», а самостоятельно собирать из исходников, внимательно анализируя исходный код и содержание всех изменений», – рассуждает он.

Уязвимость платформы создает тот факт, что «Гостех» не владеет платформой и не имеет инструментов влияния на нее, соглашается с ним топ-менеджер еще одной крупной российской компании-разработчика. «Что будет, если Terraform, например, заложит в функционал ограничения для пользователей на территории РФ? Или вообще возможность удаленного отключения, которой воспользуется в один прекрасный момент? Кто в этом случае будет нести ответственность? – рассуждает он. – То есть использование иностранных опенсорсных платформ – это системный риск, который лечится только заменой на подконтрольную платформу».

При использовании любого опенсорс-средства надо помнить про принципы безопасной разработки, проверку кода на уязвимости и вредоносные вложения и бекдоры, соглашается руководитель практики кибербезопасности «Терралинк» компании Евгений Питолин. «Если мы хотим доверять какому-то ПО, оно должно собираться ответственным разработчиком. Если софт собран неизвестно кем, чем он будет отличаться от пиратского, как можно убедиться, что в него не включили что-нибудь вредоносное?» – заключает заместитель гендиректора компании PostgressPro Иван Панченко.

Terraform не единственное свободное ПО, использованное при создании «Гостеха». В описании платформы указан целый ряд решений Apache, лицензии на которые контролирует американская Apache Software Foundation.

ПО Terraform не входит в состав платформы «Гостех», заявил представитель «Сбера». «Все продукты платформы «Гостех» внесены в реестр отечественного ПО. Продукты, имеющие функции информационной безопасности, прошли необходимую сертификацию регуляторов», – добавил он.

Дополнение материала в 18:30 мск